Концепция аудита информационно-коммуникационных систем и процессов государственного управления, осуществляемых с их использованием 2 Резюме 2
| Вид материала | Документы |
- Сущность коммуникационных процессов. Элементы и этапы коммуникационного процесса, 237.32kb.
- Конструирование урока с использованием информационно-коммуникационных технологий, 188.96kb.
- О формировании информационно-коммуникационных компетенций в процессе профессиональной, 100.53kb.
- 1. Роль информационно-коммуникационных технологий в условиях современного общества, 169kb.
- Тема : «Петербург Ф. М. Достоевского», 117.25kb.
- Исследование и разработка структур баз геоданных информационно-телекоммуникационных, 202.23kb.
- Менеджмент программы аудита 7 2 Цели и объем программы аудита 9 3 Ответственность,, 492.18kb.
- Заседание мо учителей химии Колышлейского района, 816.78kb.
- Рабочая программа дисциплины мерительные устройства систем управления, 448.87kb.
- Рыхтик Оксана Анатольевна, методист ммц методические основы проектирования медиаурок, 304.28kb.
Требования к качеству услуг информационного аудита государственных информационно-коммуникационных систем и процессов государственного управления, осуществляемых с их использованием
1.Сокращения и термины
В настоящем Положении следующие сокращения и термины используются в определённых ниже значениях:
Требования – настоящие «Требования к качеству услуг информационного аудита государственных информационно-коммуникационных систем и процессов государственного управления, осуществляемых с их использованием»
ФОИВ – федеральный орган исполнительной власти
ИКТ-системы – программно-аппаратные комплексы, обеспечивающие применение информационно-коммуникационных технологий, регламентирующие их использование документы и организационные структуры, осуществляющие их эксплуатацию.
ПО – программное обеспечение.
Аудируемое лицо – организация, ИКТ-системы и практика использования ИКТ в которых являются предметом проверки и оценки при проведении информационного аудита.
Информационный аудит – проверка и оценка ИКТ-систем и практики их использования в организации, осуществляемые специализированной независимой организацией.
Аудиторская организация – организация, осуществляющая информационный аудит.
Аудитор – сотрудник аудиторской организации или организации, осуществляющей внешний контроль.
Мандат аудитора – определённая нормативными правовыми актами и гражданскими правовыми договорами совокупность целей аудита, требований, на соответствие которым проводится аудит, периода проверки, полномочий аудитора и иных существенных условий аудита.
Заказчик аудита – лицо, выступающее заказчиком аудита и определяющее мандат аудитора. Заказчиком аудита может выступать как аудируемое лицо, представленное уполномоченным на это органом управления, так и иное заинтересованное лицо, имеющее соответствующие полномочия в силу закона или соглашения с аудируемым лицом.
Объект аудита – ИКТ-системы, практика их использования, информационные потоки и процессы работы организации, а также регламенты и инструкции, определяющие эти процессы.
Заключение аудитора (аудиторское заключение) - выраженное в письменном виде мнение аудитора о соответствии ИКТ-систем аудируемого лица и практики их использования применимым требованиям, определяемым в соответствии с нормативными правовыми актами и мандатом аудитора.
2. Общие положения.
2.1. Требования подлежат применению конкурсными комиссиями, сформированными ФОИВ для проведения конкурсов по размещению заказов на оказание услуг информационного аудита. Требования применяются на этапе оценки конкурсной комиссией технических предложений, представленных участниками конкурса. Требования подлежат включению в конкурсную документацию.
2.2. Требования предназначены для обеспечения качества и надежности информационного аудита использования государственных ИКТ-систем и практики их использования, а также для обеспечение определенного уровня гарантий результатов аудиторской проверки при их соблюдении.
2.3. Целями внедрения Требований и применяемых в их исполнение международных, отраслевых или внутрифирменных стандартов являются:
- обеспечение высокого качества аудиторской проверки;
- обеспечение прозрачности деятельности аудиторских организаций;
- защита интересов государственных заказчиков услуг информационного аудита;
- установление единых требований при осуществлении обязательного информационного аудита;
- содействие внедрению в аудиторскую деятельность наилучших деловых практик и научных достижений;
- содействие аудируемым лицам и получателям аудиторских заключений в понимании сущности и методов аудиторской проверки и содержания результатов информационного аудита;
- обеспечение сравнимости качества работы отдельных аудиторских организаций.
3. Стандартизации деятельности аудиторских организаций
3.1. Аудиторская организация, осуществляющая информационный аудит государственных ИКТ-систем и практики их использования, должна основывать свою деятельность на наборе профессиональных стандартов, сфера применения которых включает перечисленные в разделе 4 Требований деятельности аудиторской организации по подготовке, проведению и предоставлению результатов информационного аудита.
3.2. Аудиторская организация самостоятельно выбирает набор профессиональных стандартов, применяемых в её деятельность, и способ подтверждения соответствия своей деятельности этим стандартам.
3.3. Допустимыми видами стандартов, применяемых аудиторской организацией, являются:
- Стандарты международных профессиональных объединений или ассоциаций информационных аудиторов.
- Стандарты российских профессиональных объединений или ассоциаций информационных аудиторов иных государств.
- Стандарты национальных профессиональных объединений или ассоциаций информационных аудиторов иных государств.
- Внутрифирменные стандарты аудиторской организации.
3.4. Использование аудиторской организацией стандартов международных, российских или иностранных профессиональных объединений или ассоциаций возможно при условии членства аудиторской организации или её руководителей и ведущих сотрудников в соответствующем объединении или в ассоциации.
3.5. Использование аудиторской организацией внутрифирменных стандартов возможно при условии утверждения этих стандартов в качестве обязательных для деятельности организации уполномоченными на такое утверждение должностными лицами.
3.6. Набор стандартов, применяемых аудиторской организацией, должен быть доступен на русском языке. При использовании стандартов международных или иностранных профессиональных объединений или ассоциаций перевод на русский язык должен быть официально одобрен соответствующим объединением или ассоциацией.
4. Области стандартизации деятельности аудиторских организаций
Набор стандартов, выбранный аудиторской организацией для применения в деятельности по информационному аудиту государственных ИКТ-систем и практики их использования, должен устанавливать требования к следующим аспектам деятельности аудиторской организации по подготовке, проведению и предоставлению результатов информационного аудита:
4.1. Мандат аудитора
Стандарты должны предписывать наличие мандата аудитора и устанавливать требования к его содержанию и процедуре одобрения
4.2. Планирование аудита.
Стандарты должны предписывать обязательное планирование аудиторской проверки, устанавливать требования к охвату и степени подробности планирования.
4.3. Проведение аудиторского обследования
Стандарты должны устанавливать требования к проведению аудиторского обследования, к методам сбора аудиторских доказательств и к документированию проведения обследования.
4.4. Подготовка и предоставление аудиторского заключения и рекомендаций
Стандарты должны устанавливать требования к составлению и передаче выводов аудитора, обсуждению выводов с заказчиком аудита, составлению аудиторского заключения и рекомендаций.
5. Регламентация деятельности аудиторских организаций
5.1. Для обеспечения соответствия деятельности выбранному набору стандартов, аудиторская организация должна обеспечить наличие утверждённых уполномоченными должностными лицами внутренних процедур, регламентов, функционирующих систем документооборота и систем автоматизации деятельности, разработанных и использующихся для обеспечения исполнения требований выбранного набора стандартов.
5.2. Внутренние процедуры и регламенты, применяемые аудиторской организацией для обеспечения исполнения требований стандартов, должны быть доступны на русском языке.
5.3. В случае членства аудиторской организации или её руководителей и ведущих сотрудников в международном, российском или иностранном профессиональном объединений или ассоциаций и при использовании стандартов этого объединения или ассоциации, соответствие стандартам для внутренних процедур, регламентов, систем документооборота и систем автоматизации может быть подтверждено сертификатом этого объединения или ассоциации.
6. Персонал аудиторских организаций
6.1. Аудиторская организация должна иметь утверждённые уполномоченными должностными лицами требования к квалификации сотрудников, определяющие для персонала и руководителей организации требования к образованию, опыту работы, наличию сертификатов и аттестатов профессиональных объединении или ассоциаций.
6.2. Аудиторская организация должна иметь утверждённые уполномоченными должностными лицами принципы назначения на проекты информационного аудита персонала и руководителей определённой квалификации.
6.3. Аудиторская организация должна иметь удовлетворяющий установленным в организации требованиям к квалификации сотрудников персонал, в количестве, необходимом для выполнения проекта информационного аудита, являющегося предметом государственной закупки.
7. Обеспечение информационной безопасности
7.1. Аудиторская организация должна иметь утверждённые уполномоченными должностными лицами внутренние процедуры и регламенты обеспечения информационной безопасности при осуществлении аудиторской деятельности. Внутренние процедуры и регламенты обеспечения информационной безопасности должны отражать риски работы аудиторов с информацией с ограниченным кругом доступа.
7.2. В случае наличия у аудиторской организации допуска к работе с ИКТ-системами, содержащими информацию с ограниченным кругом доступа, обеспечение безопасности работы с информацией в аудиторской организации должно соответствовать установленным законодательно требованиям к работе с такими видами информации.
8. Управление рисками аудиторских организаций
8.1. Аудиторская организация должна иметь утверждённые уполномоченными должностными лицами внутренние процедуры и регламенты управления рисками аудиторской деятельности.
8.2. При наличии страхования гражданской ответственности аудиторской организации перед третьими лицами, аудиторская организация должна иметь утверждённую уполномоченными должностными лицами методику оценки ущерба, причинение которого возможно при осуществлении аудиторской деятельности. Методика оценки ущерба должна, в том числе, принимать во внимание причинение ущерба при нарушении принципов информационной безопасности в деятельности аудиторской организации.
Оценка страховой суммы по полису страхования гражданской ответственности должна проводиться на основании указанной методики.
9. Ценообразование
9.1. Аудиторская организация должна иметь утверждённую уполномоченными должностными лицами методику ценообразования на услуги информационного аудита, учитывающую масштаб и сложность работ, квалификацию персонала, необходимость привлечения внешних экспертов и субподрядчиков.
Финансовое предложение, предоставляемое на конкурс при проведении государственной закупки услуг информационного аудита, должно быть составлено на основании указанной методики.
10. Аффилированность
Аудиторская организация должна предоставлять заверенные уполномоченным лицом данные, достаточные для определения степени аффилированности её самой и её аудиторов с государственным заказчиком при проведении государственной закупки услуг информационного аудита,